Microsoft Entra ID を使用したプラットフォーム SSO の構成

  • hC
  • EF
  • CW

プラットフォームSSOとは?

プラットフォームSSOは、ユーザーがハードウェアにバインドされたキー、スマートカード、またはIdPパスワードを使用してMacデバイスにサインインできるようにする機能です。この機能により、Apple デバイス用の Microsoft Enterprise SSO プラグインが強化され、 macOS 14 以降の Microsoft Entra ID アカウントにシングルサインオンが提供されます。

Microsoft Entra ID を使用したプラットフォーム SSO は、現在プレビュー段階です。詳細については、 Microsoft のPlatform Single Sign-On の概要を参照してください。

Company Portal Auto Appを追加して構成する

  1. 左側のナビゲーションバーで [ライブラリ ]に移動します。

  2. 右上の [ 新規追加 ] をクリックし、Microsoft Company Portal を選択します。

  3. 「追加と設定」をクリックします。

  4. ご希望のAssignment MapsまたはClassic Blueprintsに割り当てます。 

  5. オプションで、Classic Blueprintsの割り当てルールを設定します。 

  6. インストール方法を [継続的に適用] に設定します。

  7. バージョン適用設定を指定します。

  8. ライブラリアイテムを保存します 。

ログインウィンドウライブラリアイテムの追加と設定

  1. 左側のナビゲーションバーで [ライブラリ]に移動します。

  2. 右上の「新規追加」をクリックし、「ログインウィンドウ」を選択します。

  3. 「追加と設定」をクリックします。

  4. ログインウィンドウライブラリアイテムに名前を付けます。

  5. ご希望のAssignment MapsまたはClassic Blueprintsに割り当てます。 

  6. 必要に応じて、Classic Blueprintsの割り当てルールを設定します。 

  7. [ユーザーの表示] で、[ユーザー名とパスワードのフィールドを表示する] のラジオボタンを設定します。

  8. ライブラリアイテムを保存します。 

シングルサインオン拡張機能ライブラリアイテムの追加と設定

  1. 左側のナビゲーションバーで [ライブラリ]に移動します。

  2. 右上の「新規追加」をクリックし、「シングルサインオン拡張機能」を選択します。

  3. 「追加と設定」をクリックします。

  4. 新しいライブラリアイテムに名前を付けます。 

  5. [インストール先]プラットフォームとして[Mac]を選択します。

  6. ご希望の Assignment Maps または Classic Blueprintsに割り当てます。 

  7. オプションで、Classic Blueprintsの割り当てルールを設定します。 

  8. [拡張機能の種類] で、[リダイレクト] を選択します。

  9. [拡張機能識別子] に「com.microsoft.CompanyPortalMac.ssoextension」と入力します

  10. UBF8T346G9を [ チーム識別子 ] テキストボックスに貼り付けます。

  11. 次のURLを URL フィールドに貼り付けます。

    • https://login.microsoftonline.com

    • https://login.microsoft.com

    • https://sts.windows.net

  12. オプションで、ソブリンクラウドドメインを使用する場合は、追加のURLを含める必要があります。

    • https://login.partner.microsoftonline.cn

    • https://login.chinacloudapi.cn

    • https://login.microsoftonline.us

    • https://login-us.microsoftonline.com  

  13. [プラットフォーム SSO] の スイッチを切り替えます。

  14. 認証方法を選択します。組織で使用する方法については、Microsoft のサポート記事を参照してください。

  15. 既存のユーザーのデフォルトの権限を設定します。

  16. 新規ユーザーのデフォルトの権限を設定します。

  17. [共有されたデバイスキー] のチェックボックスをオンにします。

  18. IDプロバイダーアカウントを使用した認証を許可を有効にします。これにより、ユーザーは Microsoft Entra ID 資格情報を使用してシステム認証プロンプトを操作できます。

  19. ユーザーのローカルアカウントを自動的に作成する場合は、[ログイン時に新しいユーザーの作成を許可する] を有効にします。 ローカルアカウントを作成するには、ログイン画面でデバイスがインターネットに接続され、 FileVault がロック解除されている必要があり、そのデバイスの有効なBootstrapトークンをKandjiが持っている必要があります。

  20. アカウントの表示名を入力します。

  21. [フルログインを要求する] までの秒数を指定します。

  22. [トークン マッピング ] フィールドで、[アカウント名] に preferred_username を入力し、[FullName] に名前を入力します。

  23. 必要に応じて、 管理者グループ 追加のグループおよびユーザーグループを設定します。

    Microsoft は現在、新規ユーザーと既存のユーザーに対して固定された Standard 値と Admin 値 の使用のみをサポートしています

    • 管理者グループは 、デバイスに対する管理者アクセス権を持つ必要がある Microsoft Entra ID のグループです。これらのグループは、特定のユーザーに昇格された権限を付与するために使用されます。

    • 追加のグループは 、デバイスのローカルディレクトリに作成するカスタムグループです。これらのグループを使用して、ユーザーを整理し、特定の設定や権限を適用できます。

    • ユーザーグループは 特に便利で、特定の macOS システム権限をローカルディレクトリに作成されたカスタムグループにマッピングできます。たとえば、ユーザーグループを使用して「sudo」アクセス権を付与したり、プリンターのアクセス許可を管理したりできます

  24. 設定 を保存します